現(xiàn)在呢，有很多管理上網(wǎng)行為的軟件，那么ASA作為狀態(tài)化防火墻，它也可以進(jìn)行管理上網(wǎng)行為，我們可以利用ASA防火墻iOS的特性實(shí)施URL過濾可以對(duì)訪問的網(wǎng)站域名進(jìn)行控制，從而達(dá)到某種管理目的。
實(shí)施URL過濾一般分成以下三個(gè)步驟：
1、創(chuàng)建class-map（類映射），識(shí)別傳輸流量。
2、創(chuàng)建policy-map（策略映射），關(guān)聯(lián)class-map。
3、應(yīng)用policy-map到接口上。

創(chuàng)新互聯(lián)專注于新昌企業(yè)網(wǎng)站建設(shè),響應(yīng)式網(wǎng)站建設(shè),商城開發(fā)。新昌網(wǎng)站建設(shè)公司,為新昌等地區(qū)提供建站服務(wù)。全流程按需策劃，專業(yè)設(shè)計(jì)，全程項(xiàng)目跟蹤，創(chuàng)新互聯(lián)專業(yè)和態(tài)度為您提供的服務(wù)

配置實(shí)例：

使用下面簡(jiǎn)單的網(wǎng)絡(luò)拓?fù)鋱D，在內(nèi)網(wǎng)主機(jī)上編輯hosts文件，添加如下記錄（若是生產(chǎn)環(huán)境，DNS服務(wù)器等齊全，則可省略這步）：

• 172.16.1.1 ：www.kkgame.com 。

• 172.16.1.1 ：www.163.com 。
  實(shí)現(xiàn)內(nèi)網(wǎng)網(wǎng)段192.168.1.0/24中的主機(jī)禁止訪問網(wǎng)站www.kkgame.com 但允許訪問其他網(wǎng)站（如www.163.com ）。
  

  配置步驟如下（接口等基本配置省略）：
  （1）、創(chuàng)建class-map，識(shí)別傳輸流量：

ciscoasa(config)# access-list tcp_filter1 permit tcp 192.168.1.0 255.255.255.0  any eq www

ciscoasa(config)# class-map tcp_filter_class1

ciscoasa(config-cmap)# match access-list tcp_filter1                #在class-map中定義允許的流量。

ciscoasa(config-cmap)# exit

ciscoasa(config)# regex url1 "\.kkgame\.com"        #定義名稱為urll的正則表達(dá)式，
表示URL擴(kuò)展名是“.kkgame.com”

ciscoasa(config)# class-map type regex match-any url_class1            #創(chuàng)建名稱為
url_class1的clas-map，類型為regex。關(guān)鍵字match-any表示匹配任何一個(gè)。

ciscoasa(config-cmap)# match regex url1               

ciscoasa(config)# class-map type inspect http http_url_class1        #創(chuàng)建
名為http-url-class1的class-map，類型為inspect http（檢查http流量）

ciscoasa(config-cmap)# match request header host regex class url_class1            #匹配http請(qǐng)求
報(bào)文頭中的host域中的URL擴(kuò)展名“.kkgame.com”，url_class1表示調(diào)用名稱為url_class1的class-map。

ciscoasa(config-cmap)# exit

（2）、創(chuàng)建policy-map，關(guān)聯(lián)class-map。

ciscoasa(config)# policy-map type inspect http http_url_policy1
#創(chuàng)建名稱為 http_url_policy1的policy-map，類型為inspect  http（檢查http流量）

ciscoasa(config-pmap)# class http_url_class1              #調(diào)用之前創(chuàng)建的class-map

ciscoasa(config-pmap-c)# drop-connection log     #drop數(shù)據(jù)包并關(guān)閉連接，并發(fā)送系統(tǒng)日志。
ciscoasa(config-pmap-c)# exit
ciscoasa(config-pmap)# exit

ciscoasa(config)# policy-map inside_http_url_policy       #創(chuàng)建名稱為 inside_http_url_policy 的policy-map，
它將被應(yīng)用到接口上。

ciscoasa(config-pmap)# class tcp_filter_class1               #調(diào)用之前創(chuàng)建的class-map

ciscoasa(config-pmap-c)# inspect http http_url_policy1               #檢查http流量
ciscoasa(config-pmap-c)# exit
ciscoasa(config-pmap)# exit

（3）、應(yīng)用policy-map到接口上：

ciscoasa(config)# service-policy inside_http_url_policy interface inside

至此，已經(jīng)實(shí)現(xiàn)了需求，需要注意的是，一個(gè)接口只能應(yīng)用一個(gè)policy-map。